Ismét a személyes adatok kiszivárogtatásáról beszélek, ezúttal azonban két friss lelet példáján mesélek egy kicsit az informatikai projektek utóéletéről.
Az adatbázis biztonsági auditja során gyakran előfordul, hogy kiszolgálókat fedez fel (, írtam egy blogban) amelyek olyan projektekhez tartoznak, amelyek régen (vagy nem is olyan régen) elhagyták világunkat. Az ilyen projektek továbbra is az életet (munkát) imitálják, zombikhoz hasonlítva (a felhasználók személyes adatait gyűjtik a haláluk után).
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.Kezdjük egy projekttel, melynek hangos neve „Putyin csapata” (putinteam.ru).
Nyitott MongoDB-vel rendelkező szervert fedeztek fel 19.04.2019.
Amint láthatja, a zsarolóvírus volt az első, amely elérte ezt a bázist:
Az adatbázis nem tartalmaz különösebben értékes személyes adatokat, de vannak e-mail címek (kevesebb mint 1000), keresztnevek/vezetéknevek, kivonatolt jelszavak, GPS-koordináták (úgy tűnik, okostelefonról történő regisztrációkor), lakóhelyük városa és az oldalt létrehozó felhasználók fényképei. személyes fiókjukat rajta.
{
"_id" : ObjectId("5c99c5d08000ec500c21d7e1"),
"role" : "USER",
"avatar" : "https://fs.putinteam.ru/******sLnzZokZK75V45-1553581654386.jpeg",
"firstName" : "Вадим",
"lastName" : "",
"city" : "Санкт-Петербург",
"about" : "",
"mapMessage" : "",
"isMapMessageVerify" : "0",
"pushIds" : [
],
"username" : "5c99c5d08000ec500c21d7e1",
"__v" : NumberInt(0),
"coordinates" : {
"lng" : 30.315868,
"lat" : 59.939095
}
}
{
"_id" : ObjectId("5cb64b361f82ec4fdc7b7e9f"),
"type" : "BASE",
"email" : "***@yandex.ru",
"password" : "c62e11464d1f5fbd54485f120ef1bd2206c2e426",
"user" : ObjectId("5cb64b361f82ec4fdc7b7e9e"),
"__v" : NumberInt(0)
}Sok szemét információk és üres rekordok. Például a hírlevél feliratkozási kód nem ellenőrzi az e-mail cím megadását, így cím helyett azt írhatsz, amit akarsz.
A weboldal szerzői jogai alapján a projektet 2018-ban félbehagyták. A projekt képviselőivel való kapcsolatfelvétel minden kísérlete sikertelen volt. Az oldalon azonban ritka regisztrációk találhatók - az élet utánzata van.
Mai elemzésemben a második zombiprojekt a lett startup, a „Roamer” (roamerapp.com/ru).
21.04.2019. április XNUMX-én a „Roamer” mobilalkalmazás MongoDB nyílt adatbázisát fedezték fel egy németországi szerveren.
A 207 MB méretű adatbázis 24.11.2018. november XNUMX. óta (Shodan szerint) nyilvánosan elérhető!
Minden külső jel miatt (nem működő műszaki támogatási e-mail cím, hibás linkek a Google Play áruházra, szerzői jogok a weboldalon 2016-tól stb.) az alkalmazást már régóta elhagyták.
Egy időben szinte az összes tematikus média ezt írta erről az indulásról:
- VC: "A Roamer lett startup egy roaminggyilkos»
- a falu: "Roamer: olyan alkalmazás, amely csökkenti a külföldről érkező hívások költségeit»
- lifehacker: "A kommunikációs költségek 10-szeres csökkentése barangolás közben: Roamer»
Úgy tűnik, a „gyilkos” öngyilkos lett, de még halottán is továbbra is nyilvánosságra hozza felhasználói személyes adatait...
Az adatbázisban található információk elemzése alapján sok felhasználó továbbra is használja ezt a mobilalkalmazást. Néhány óra megfigyelés alatt 94 új bejegyzés jelent meg. A 27.03.2019. március 10.04.2019. és 66. április XNUMX. közötti időszakra pedig XNUMX új felhasználó regisztrált az alkalmazásban.
Az alkalmazás naplói (több mint 100 ezer rekord) olyan információkkal, mint:
- felhasználói telefon
- hozzáférési tokenek a hívási előzményekhez (az alábbi hivatkozásokon keresztül érhetők el: api3.roamerapp.com/call/history/1553XXXXXX)
- hívástörténet (számok, bejövő vagy kimenő hívás, hívás költsége, időtartama, hívás ideje)
- a felhasználó mobilszolgáltatója
- Felhasználói IP-címek
- a felhasználó telefonmodellje és a rajta lévő mobil operációs rendszer verziója (például iPhone 7 12.1.4)
- felhasználói e-mail cím
- felhasználói fiók egyenlege és pénzneme
- felhasználói ország
- a felhasználó aktuális tartózkodási helye (országa).
- promóciós kódok
- és még sok más.
{
"_id" : ObjectId("5c9a49b2a1f7da01398b4569"),
"url" : "api3.roamerapp.com/call/history/*******5049",
"ip" : "67.80.1.6",
"method" : NumberLong(1),
"response" : {
"calls" : [
{
"start_time" : NumberLong(1553615276),
"number" : "7495*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869601)
},
{
"start_time" : NumberLong(1553615172),
"number" : "7499*******",
"accepted" : true,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(63),
"cost" : 0.03,
"call_id" : NumberLong(18869600)
},
{
"start_time" : NumberLong(1553615050),
"number" : "7985*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869599)
}
]
},
"response_code" : NumberLong(200),
"post" : [
],
"headers" : {
"Host" : "api3.roamerapp.com",
"X-App-Id" : "a9ee0beb8a2f6e6ef3ab77501e54fb7e",
"Accept" : "application/json",
"X-Sim-Operator" : "311480",
"X-Wsse" : "UsernameToken Username="/******S19a2RzV9cqY7b/RXPA=", PasswordDigest="******NTA4MDhkYzQ5YTVlZWI5NWJkODc5NjQyMzU2MjRjZmIzOWNjYzY3MzViMTY1ODY4NDBjMWRkYjdiZTQxOGI4ZDcwNWJmOThlMTA1N2ExZjI=", Nonce="******c1MzE1NTM2MTUyODIuNDk2NDEz", Created="Tue, 26 Mar 2019 15:48:01 GMT"",
"Accept-Encoding" : "gzip, deflate",
"Accept-Language" : "en-us",
"Content-Type" : "application/json",
"X-Request-Id" : "FB103646-1B56-4030-BF3A-82A40E0828CC",
"User-Agent" : "Roamer;iOS;511;en;iPhone 7;12.1.4",
"Connection" : "keep-alive",
"X-App-Build" : "511",
"X-Lang" : "EN",
"X-Connection" : "WiFi"
},
"created_at" : ISODate("2019-03-26T15:48:02.583+0000"),
"user_id" : "888689"
}A bázis tulajdonosaival természetesen nem lehetett kapcsolatba lépni. Az oldalon lévő kapcsolatok nem működnek, üzenetek a közösségi médiában. senki nem reagál a hálózatokon.
Az alkalmazás továbbra is elérhető az Apple App Store-ban (itunes.apple.com/app/roamer-roaming-killer/id646368973).
Az információszivárogtatásról és a bennfentesekről szóló hírek mindig megtalálhatók a Telegram csatornámon."" .
Forrás: will.com